Position paper 'Cybersecurity verdient je aandacht'

Goed beveiligen is vanwege de toenemende afhankelijkheid van ICT in onderwijs en onderzoek steeds belangijker. In dit position paper beschrijven we onze visie op het gebied van cybersecurity. Je leest niet alleen waarom samenwerken op dit gebied met de hele onderwijs- en onderzoeksector noodzakelijk is, maar ook hoe we dat doen.

2 studenten praten op trap

Samenwerken is noodzakelijk

ICT-voorzieningen zijn essentieel voor onderwijs en onderzoek. Een verstoring in beschikbaarheid of betrouwbaarheid heeft impact. Samenwerken aan cybersecurity en weerbaarheid in de hele sector is daarom noodzakelijk, zodat onderwijs en onderzoek in Nederland soepel en betrouwbaar functioneert.

Goed beveiligen steeds belangrijker

Met de toenemende afhankelijkheid van ICT in onderwijs en onderzoek wordt goed beveiligen steeds belangrijker. Dat is niet slechts een technische aangelegenheid. Het is ook niet alleen een verantwoordelijkheid van de ICT-beheerders, maar van de hele organisatie. Om veilig te kunnen blijven werken, onderzoeken en leren moet iedereen zich bewust zijn van de risico’s en wat je rol is om je daartegen te wapenen, van bestuurder tot eindgebruiker.

Beveiliging is meer dan techniek

Om beveiliging goed op orde te krijgen is er aandacht nodig voor de TAO van cybersecurity: techniek, awareness en organisatie. Binnen onderwijs en onderzoek doen we dit in samenwerking omdat de uitdagingen voor bijna alle instellingen dezelfde zijn. Door samen te werken kunnen we krachten bundelen en ervaringen delen.

Techniek

Techniek is als een slot op de voor- en achterdeur: zo goed mogelijk bestand tegen inbraakpogingen, maar nutteloos als het niet wordt gebruikt. Dus alleen techniek is zeker niet voldoende. Goede mailfiltering tegen spam, phishing en virussen, goed opgezette rechten en beveiliging van interne systemen is ook noodzakelijk.

Awareness (bewustwording)

Gebruikers moeten zich ervan bewust zijn dat ze een interessant doelwit zijn voor cybercriminelen en hebben ook een eigen verantwoordelijkheid in het veilig gebruik van middelen en diensten. Bewustwordingsprogramma’s als CyberSave Yourself, kunnen gebruikers helpen de gevaren te onderkennen.

Organisatie

Iedereen van onder tot boven in de organisatie dient het belang van (cyber)security te erkennen. Integrale veiligheid en risicomanagement, inclusief cybersecurity, moeten regulier op de bestuurlijke agenda staan om risico’s en kansen af te wegen, lering te trekken uit het verleden en investeringen te doen in de toekomst. Beheerders moeten de tijd, middelen en opleidingen krijgen om hun systemen veilig in te regelen. Bewustwordingsprogramma’s moeten in samenwerking met communicatiemedewerkers worden uitgevoerd en regelmatig oefenen moet de standaard worden, vergelijkbaar met ontruimingsoefeningen en BHV.

Continue aandacht

Continue inzet op bewustwording, organisatie en techniek is nodig om veilig te kunnen blijven werken. Van beheerder tot bestuurder en van onderzoeker tot student: iedereen speelt een rol in het veilig kunnen blijven studeren, werken en onderzoeken. Door samen te werken zijn bedreigingen beter het hoofd te bieden en blijft de impact – mocht het toch een keer misgaan – zo beperkt mogelijk.

We werken al veel samen...

Omdat veel security-uitdagingen voor onze hele sector gelden, werken we op alle niveaus samen met de instellingen. Binnen de SCIRT-en SCIPR community's werken we samen aan operationele en technische security en aan (organisatorische) informatiebeveiliging en privacy. Op bestuurlijk niveau werken we samen binnen het Platform Integrale Veiligheid Hoger Onderwijs. We ondersteunen de instellingen ook op het gebied van digitale veiligheid door innovatieactiviteiten en diensten. Iedere twee jaar organiseren we samen met de instellingen een grote cybercrisisoefening OZON en voor de tussenliggende jaren is een kleinschalige oefening beschikbaar. Op bestuurlijk niveau zijn er werkconferenties security & privacy opgestart. De bewustwordingscampagne Cybersave Yourself biedt instellingen een praktische toolkit voor het opzetten van een bewustwordingsprogramma voor alle eindgebruikers. Met de tweejaarlijkse benchmark informatiebeveiliging kunnen we als sector zien hoe we ervoor staan en werken aan een volwassen informatiebeveiligingbeleid.

...maar het kan nog beter!

  • Maak integrale veiligheid, inclusief cybersecurity, en risico-management een vast onderwerp op de bestuursagenda.
  • Zorg voor continue aandacht voor de drie pijlers (TAO) binnen alle lagen van de organisatie: benut alle technische mogelijkheden, zorg voor bewustzijn bij alle gebruikers en coördineer cybersecurity goed binnen de organisatie.
  • Doe mee aan de tweejaarlijkse benchmark informatiebeveiliging om gezamenlijke uitdagingen inzichtelijk te maken.
  • Werk samen en blijf oefenen.

 Lees verder: